Ükskõik, mida ettevõte teeb, turvalisus DNS peaks olema tema turvaplaani lahutamatu osa. Nimeteenuseid, mis lahendavad hostinimed IP-aadressideks, kasutavad peaaegu kõik võrgus olevad rakendused ja teenused.
Kui ründaja saab organisatsiooni DNS-i üle kontrolli, saab ta hõlpsalt:
anda endale kontroll jagatud ressursside üle
suunata ümber sissetulevad meilid, samuti veebipäringud ja autentimiskatsed
luua ja kinnitada SSL/TLS-sertifikaate
Selles juhendis vaadeldakse DNS-i turvalisust kahe nurga alt:
DNS-i pidev jälgimine ja kontroll
Kuidas uued DNS-protokollid, nagu DNSSEC, DOH ja DoT, aitavad kaitsta edastatud DNS-päringute terviklikkust ja konfidentsiaalsust
Mis on DNS-turvalisus?
DNS-turvalisuse kontseptsioon sisaldab kahte olulist komponenti:
Hostinimed IP-aadressideks määravate DNS-teenuste üldise terviklikkuse ja kättesaadavuse tagamine
Jälgige DNS-i tegevust, et tuvastada võimalikud turvaprobleemid kõikjal teie võrgus
Miks on DNS rünnakute suhtes haavatav?
DNS-tehnoloogia loodi Interneti algusaegadel, ammu enne seda, kui keegi üldse võrguturbe peale mõtlema hakkas. DNS töötab ilma autentimise või krüptimiseta, töötledes pimesi mis tahes kasutaja päringuid.
Seetõttu on palju võimalusi kasutaja petmiseks ja teabe võltsimiseks selle kohta, kus nimede IP-aadressiks resolutsioon tegelikult toimub.
DNS-turvalisus: probleemid ja komponendid
DNS-turvalisus koosneb mitmest põhilisest komponendid, millest kõiki tuleb täieliku kaitse tagamiseks arvesse võtta:
Serveri turvalisuse ja haldusprotseduuride tugevdamine: tõsta serveri turvalisuse taset ja luua standardne kasutuselevõtu mall
Protokolli täiustused: rakendage DNSSEC, DoT või DoH
Analüütika ja aruandlus: Lisage oma SIEM-süsteemi DNS-i sündmuste logi, et saada lisakonteksti juhtumite uurimisel
Küberluure ja ohtude tuvastamine: tellige aktiivne ohuluure voog
Automatiseerimine: luua võimalikult palju skripte protsesside automatiseerimiseks
Ülalmainitud kõrgetasemelised komponendid on vaid DNS-i turvajäämäe tipp. Järgmises jaotises käsitleme täpsemaid kasutusjuhtumeid ja parimaid tavasid, millest peate teadma.
DNS-tunneldamine: kasutatakse peamiselt kaugühenduse kaitsetest möödahiilimiseks
DNS-i kaaperdamine: tavalise DNS-liikluse ümbersuunamine teisele siht-DNS-serverile, muutes domeeni registripidajat
NXDOMAIN rünnak: DDoS-i rünnak autoriteetse DNS-serveri vastu, saates sundvastuse saamiseks ebaseaduslikke domeenipäringuid
fantoomdomeen: paneb DNS-i lahendaja ootama vastust olematutelt domeenidelt, mille tulemuseks on halb jõudlus
rünnak juhusliku alamdomeeni vastu: ohustatud hostid ja robotvõrgud käivitavad DDoS-i rünnaku kehtiva domeeni vastu, kuid keskenduvad võltsitud alamdomeenidele, et sundida DNS-serverit kirjeid otsima ja teenuse üle kontrolli üle võtma.
domeeni blokeerimine: saadab DNS-serveri ressursside blokeerimiseks mitu rämpsposti vastust
Botivõrgu rünnak abonendi seadmetelt: arvutite, modemite, ruuterite ja muude seadmete kogum, mis koondavad arvutusvõimsuse konkreetsele veebisaidile, et koormata seda liikluspäringutega
DNS rünnakud
Rünnakud, mis mingil moel kasutavad DNS-i teiste süsteemide ründamiseks (st DNS-kirjete muutmine ei ole lõppeesmärk):
Rünnakud, mille tulemusel saadetakse DNS-serverist tagasi ründajale vajalik IP-aadress:
DNS-i võltsimine või vahemälu mürgitamine
DNS-i kaaperdamine
Mis on DNSSEC?
DNSSEC – domeeninimeteenuse turbemootoreid – kasutatakse DNS-kirjete kinnitamiseks, ilma et oleks vaja teada iga konkreetse DNS-i päringu üldist teavet.
DNSSEC kasutab digitaalallkirja võtmeid (PKI-sid), et kontrollida, kas domeeninime päringu tulemused pärinevad kehtivast allikast.
DNSSEC-i rakendamine pole mitte ainult valdkonna parim tava, vaid see on tõhus ka enamiku DNS-rünnakute vältimiseks.
Kuidas DNSSEC töötab
DNSSEC töötab sarnaselt TLS/HTTPS-iga, kasutades DNS-kirjete digitaalseks allkirjastamiseks avalikke ja privaatvõtmepaare. Üldine ülevaade protsessist:
Vastused DNSSEC-päringutele sisaldavad nii taotletud kirjet kui ka allkirja ja avalikku võtit
siis avalik võti kasutatakse kirje ja allkirja autentsuse võrdlemiseks
DNS ja DNSSEC turvalisus
DNSSEC on tööriist DNS-päringute terviklikkuse kontrollimiseks. See ei mõjuta DNS-i privaatsust. Teisisõnu võib DNSSEC anda teile kindlustunde, et teie DNS-päringu vastust ei ole rikutud, kuid iga ründaja näeb neid tulemusi nii, nagu need teile saadeti.
DoT – DNS TLS-i kaudu
Transport Layer Security (TLS) on krüptograafiline protokoll võrguühenduse kaudu edastatava teabe kaitsmiseks. Kui kliendi ja serveri vahel on loodud turvaline TLS-ühendus, krüpteeritakse edastatud andmed ja ükski vahendaja neid ei näe.
TLS kasutatakse teie veebibrauseris kõige sagedamini HTTPS-i (SSL) osana, kuna päringud saadetakse turvalistele HTTP-serveritele.
DNS-over-TLS (DNS over TLS, DoT) kasutab tavaliste DNS-päringute UDP-liikluse krüptimiseks TLS-protokolli.
Nende päringute krüptimine lihttekstina aitab kaitsta kasutajaid või taotlusi esitavaid rakendusi mitme rünnaku eest.
MitM ehk "mees keskel": Ilma krüptimiseta võib vahesüsteem kliendi ja autoriteetse DNS-serveri vahel saata kliendile vastuseks valet või ohtlikku teavet.
Spionaaž ja jälitamine: taotlusi krüpteerimata on vahevarasüsteemidel lihtne näha, millistele saitidele konkreetne kasutaja või rakendus juurde pääseb. Kuigi DNS üksi ei paljasta konkreetset veebisaidil külastatavat lehte, piisab süsteemi või üksikisiku profiili loomiseks lihtsalt taotletud domeenide teadmisest.
DNS-over-HTTPS (DNS over HTTPS, DoH) on eksperimentaalne protokoll, mida reklaamivad ühiselt Mozilla ja Google. Selle eesmärgid on sarnased DoT-protokolliga – inimeste privaatsuse suurendamine võrgus, krüpteerides DNS-i päringuid ja vastuseid.
Standardsed DNS-päringud saadetakse UDP kaudu. Taotlusi ja vastuseid saab jälgida selliste tööriistade abil nagu Wireshark. DoT krüpteerib need päringud, kuid need tuvastatakse siiski üsna erineva UDP-liiklusena võrgus.
DoH kasutab teistsugust lähenemist ja saadab krüpteeritud hostinime eraldustaotlused HTTPS-ühenduste kaudu, mis näevad välja nagu kõik muud võrgupäringud.
Sellel erinevusel on väga oluline mõju nii süsteemiadministraatoritele kui ka nimelahenduse tulevikule.
DNS-i filtreerimine on levinud viis veebiliikluse filtreerimiseks, et kaitsta kasutajaid andmepüügirünnakute, pahavara levitavate saitide või muu potentsiaalselt kahjuliku Interneti-tegevuse eest ettevõtte võrgus. DoH-protokoll möödub nendest filtritest, seades kasutajad ja võrgu potentsiaalselt suuremasse ohtu.
Praeguse nimelahenduse mudeli korral saavad kõik võrgus olevad seaded DNS-päringuid enam-vähem samast asukohast (määratud DNS-serverist). DoH ja eriti Firefoxi rakendamine näitab, et see võib tulevikus muutuda. Iga arvuti rakendus võib saada andmeid erinevatest DNS-i allikatest, muutes tõrkeotsingu, turvalisuse ja riskide modelleerimise palju keerulisemaks.
Mis vahe on DNS-il TLS-i kaudu ja DNS-il HTTPS-i kaudu?
Alustame DNS-iga TLS-i (DoT) kaudu. Peamine mõte on siin see, et algset DNS-protokolli ei muudeta, vaid see edastatakse lihtsalt turvaliselt üle turvalise kanali. DoH seevastu paneb DNS-i enne päringute tegemist HTTP-vormingusse.
DNS-i jälgimise hoiatused
Võimalus tõhusalt jälgida DNS-liiklust teie võrgus kahtlaste kõrvalekallete suhtes on rikkumise varajaseks tuvastamiseks ülioluline. Sellise tööriista nagu Varonis Edge kasutamine annab teile võimaluse olla kursis kõigi oluliste mõõdikutega ja luua profiile iga võrgu konto jaoks. Saate konfigureerida hoiatusi genereerima teatud aja jooksul toimuvate toimingute kombinatsiooni tulemusena.
DNS-i muudatuste jälgimine, konto asukohad, esmakordne kasutamine ja juurdepääs tundlikele andmetele ning tööpäevajärgsed tegevused on vaid mõned mõõdikud, mida saab laiema tuvastamispildi loomiseks korreleerida.